For dataansvarlig er minimum følgende:
- navnet på og kontaktopplysninger til den dataansvarlige og eventuelt felles dataansvarlig
- databehandlere og databehandleravtaler (med referanse til arkivnr.)
- evt. felles dataansvar (med tilhørende avtale)
- navnet på og kontaktopplysninger til personvernombud
- formålene med behandlingen
- kategorier av registrerte (eksempelvis pasienter – barn og voksen, klient, bruker av tjenesten, ansatt, helsepersonell, bruker av informasjonssystem)
- kategorier av personopplysninger (eksempelvis ansattopplysninger, helseopplysninger)
- kategori av behandlinger (lagring, sammenstilling, utlevering mv)
- hvorvidt det behandler personopplysninger av særlige kategorier og hjemmelsgrunnlaget for denne typen behandling.
- mottakere av personopplysninger (eksempelvis NAV, HELFO, reseptregisteret, forsikringsselskap, o.l.)
- kilder for innhenting av opplysninger (den registrerte selv, registre etc.)
- eventuell overføring til tredjeland eller internasjonale organisasjoner og bekreftelse på at mottaker følger regulatoriske krav
- planlagt lagringstid (vil også omfatte journalføring og arkivering), og sletterutiner
- beskrivelse av tekniske og organisatoriske sikkerhetstiltak, jf. styringssystemet
- om det er utarbeidet personvernkonsekvensvurdering og begrunnelse for hvorfor ikke
